CISP-信息安全工程能力评估

cissp 基础安全评估
CISSP（Certified Information Systems Security Professional）基
础安全评估是指在CISSP认证框架下对信息系统的基础安全
进行评估和审查的过程。

CISSP认证是国际上公认的信息安全
领域最高级别的专业认证之一，持有该认证的专业人士具备广泛的信息安全知识和技能。

基础安全评估主要包括以下内容：
1. 资产管理：对组织内的信息系统资产进行识别、分类和管理，并确定其对组织的重要性和价值。

2. 风险管理：识别和评估潜在的内部和外部威胁，制定风险管理策略和措施，降低风险。

3. 访问控制：建立适当的用户身份验证、授权和访问控制机制，确保只有经过授权的人员能够获得系统资源的访问权限。

4. 安全操作：制定并执行相关的安全策略、流程和操作程序，保障系统和数据的安全运行。

5. 网络和通信安全：保护计算机网络和通信的机密性、完整性和可用性，包括防火墙、入侵检测系统、加密等安全措施的实施。

6. 安全性的生命周期管理：在信息系统的开发、运行和维护过程中，考虑安全性需求，确保信息系统的安全性能。

7. 安全事件与应急响应：建立适当的安全事件监测和应急响应机制，及时发现和应对安全事件，最大限度地减少损失。

CISSP基础安全评估需要综合运用信息安全管理、风险管理和技术控制等方面的知识和方法，对信息系统的基础安全状况进行全面评估和审查。

评估结果能够帮助组织发现存在的安全风险和问题，并提供相应的改进建议和措施，以确保信息系统的安全性和可靠性。

一．信息安全测评服务介绍1.中国信息安全测评中心：1）履行国家信息安全漏洞分析和风险评估职能2）对信息产品、系统和工程进行评估3）对信息安全服务，人员的资质进行审核2.CISP以信息安全保障（IA）作为主线二．信息安全测评认证体系介绍1．由信息安全问题所引起的国家面临的主要威胁：1）信息霸权的威胁2）经济安全3）舆论安全4）社会稳定2．我国测评认证中心的建设过程：1）1998.10 国家质量技术监督局成立“中国国家信息安全测评认证中心”，1999.2 该中心挂牌运行2）2001.5 中编办“中国信息安全产品测评认证中心”（中编办【2001】51号）CNITSEC 3）2007 改名“中国信息安全测评中心”3．认证要点（1）一个目标：TOE评估的正确性和一致性（2）两种方法：“质量过程核查”，“评估活动评价”（3）三个阶段：准备，评估，认证（4）四类活动4．行业许可证制度1）信息安全产品：公安部3所检测，公安部11局颁发2）防病毒产品：指定单位（天津市公安局）3）商用密码产品：国密办颁发5.商业性测评：制定化，控制，量化6.认证业务的范围：服务商，专业人员，产品，系统三．信息安全测评认标准1.测评标准发展1）美国TCSEC（桔皮书）：美国国防部1985年提出，军用机密性，D最小保护C1自主安全保护C2访问控制保护B1安全标签保护B2结构化保护B3安全域保护A1验证设计保护2）欧共体ITSEC：将安全性分为功能和保证；提出TOE；提出“安全目标”ST；E1-63)加拿大CTCPEC：功能性要求分为机密性，完整性，可用性，可控性4）美国联邦FC：引入了保护轮廓PP；每个轮廓包括功能，保障和评测需求5）通用评估准则CC：1996年V1.0；1998年V2.0；1999年为ISO15408（GB/T18336）；思想框架来源于FC和ITSEC；EAL1-72. CC的评估保证级EALEAL1功能测试；EAL2结构测试；EAL3系统地测试和检查；EAL4系统地设计、测试和复查；EAL5半形式化设计和测试（无隐蔽通道）；EAL6半形式化验证的设计和测试；EAL7形式化验证的设计和测试3. CC的结构：1）简介和一般介绍，以及保护轮廓规范和安全目标规范2）第二部分：安全功能需求3）第三部分：安全保障需求4. CC的范围不包括：1）行政性管理安全措施的评估准则；2）物理安全方面（诸如电磁辐射控制）的评估准则；3）密码算法固有质量评价准则包括：信息系统产品和技术5. 保护轮廓PP（甲方）没有详细的设计方案，安全目标ST（乙方）方案6. APE类：保护轮廓的评估准则；ASE类：安全目标的评估准则7. CC的结构：类，子类，组件8. 其他重要标准1）ITIL：IT服务框架2）Gobit：ISACA协会IT内控审计、IT治理框架四．我国标准1. 我国：国家GB/T; 行业：GA,GJB; 地方：DB/T; 企业：Q2. 标准化：最佳秩序，对实际的或潜在的问题制定共同的和重复使用的规则的活动。

cisp安全评估标准
CISP是中国信息安全监察的简称，是由中国信息产业部（现工信部）制定并推广的一系列信息安全标准。

CISP安全评估标准是其中的一部分，主要是针对信息系统进行安全评估的要求和指导。

CISP安全评估标准主要包括以下几个方面：
1. 安全体系结构评估：评估信息系统是否具备完整的安全体系结构，包括安全策略、安全管理组织架构、安全人员、安全培训等。

2. 安全技术评估：评估信息系统中的安全技术措施是否符合相关的安全标准和要求，包括防火墙、入侵检测系统、恶意代码检测等。

3. 安全管理评估：评估信息系统中的安全管理是否健全有效，包括安全策略与规划、安全管理过程、安全事件响应等。

4. 安全应急响应评估：评估信息系统中的安全应急响应机制是否完善，包括应急预案、应急演练、安全事件的处置等。

5. 安全审计评估：评估信息系统中的安全审计机制是否有效，包括日志记录、审计分析、安全审计人员等。

CISP安全评估标准是中国信息安全监察的指导性文件，对于
评估和提升信息系统的安全性具有重要的指导作用，帮助组织和企业更好地管理和保护信息安全。

CISP-01-信息安全测评服务介绍CISP-01-信息安全测评服务介绍一、背景介绍随着信息技术的迅猛发展，信息安全已经成为了各个企事业单位的重要问题。

信息安全测评作为保障信息系统和网络安全的一种重要手段，被广泛应用于各个行业。

CISP-01-信息安全测评服务是一种提供专业的信息安全测评服务的资质标准，以确保信息系统和网络的安全可靠性。

二、测评服务内容CISP-01-信息安全测评服务提供了多种测评内容，包括但不限于以下几个方面：1. 系统和网络漏洞扫描：通过扫描工具对系统和网络进行全面的检测，发现其中存在的漏洞，并提供相应的修复建议。

2. 业务系统安全审计：对企事业单位的业务系统进行审计，检查系统是否存在安全漏洞和风险，并提供相应的改进方案。

3. 无线网络安全测试：对无线网络进行渗透测试，发现其中的安全漏洞和风险，并提供相应的解决方案。

4. 数据安全测试：对企事业单位的数据进行安全测试，检查数据存储和传输过程中是否存在风险，保证数据安全可靠。

5. 应用软件安全测试：对企事业单位的应用软件进行安全测试，发现其中的安全隐患，并提供相应的改进方案。

三、测评服务流程CISP-01-信息安全测评服务从接受测评任务到提供测评报告，经历了以下几个流程：1. 需求确认：与客户充分沟通，了解其安全需求和测评目标，制定测评计划。

2. 测评准备：准备相关的测评工具和设备，并与客户约定测评时间和地点。

3. 测评执行：按照测评计划进行测评，对系统、网络、应用软件等进行全面检测。

4. 数据收集：收集测评中产生的相关数据和信息，包括漏洞报告、复测记录等。

5. 报告编制：根据测评收集的数据，编写详细的测评报告，包括系统安全状况、漏洞详情、风险评估等。

6. 报告发布：将测评报告提交给客户，解释报告中的内容，并提供相应的建议和改进方案。

四、测评服务优势CISP-01-信息安全测评服务具有以下几个优势：1. 专业团队：我们拥有一支由经验丰富的信息安全专家组成的团队，可以提供专业、高效的测评服务。

1．风险评估在27号文件中有，风险评估等级与安全等级之间的关系。

通常要比等级保护级低。

风险评估与等级保护的高低可以判断等级保护的超前滞后性。

标准在执行过程中都是弹性的。

2．评估承担单位：涉密：保密局。

非密：测评中心、国家信息技术安全研究中心、公安部信息安全等级保护中心。

3．一次测评工作，提交两个测评报告，即风险评估报告和等保测评报告4．识别：安全控制措施、资产、威胁、漏洞。

5．一个简化的风险评估流程：准备（Readiness）、识别（Realization）、计算（Calculation）[威胁概率、事件影响、风险定级]、报告（Report）6．威胁：威胁源、威胁目标、威胁方式。

威胁分为人为和自然两类7．风险衡量的方法？威胁的概率、脆弱性的概率、资产识别的概率。

计算时：脆弱性乘两次。

即风险值＝（资产值*脆弱性）*（脆弱性*威胁）资产*脆弱＝资产的损失值脆弱性*威胁＝每年发生损失的概率8．定量分析：制定资产价值。

单一预期损失ALE，13600 9．计算题要考。

10．安全投资收益：（实施控制前的ALE）－（实施控制后的ALE）-(安全投资成本)11．GB/T 20274-2006 信息系统安全保障评估框架12．GB/T 20984-2007 信息安全风险评估规范13．GB/T 18336-2001 信息技术安全性评估准则14．好的风险管理过程具有成本效益性，遵循PDCA15．正确的风险管理方法是前瞻性风险管理和风险管理的结合。

16．资产是对组织有价值的东西，重要性等级由资产所有者确定，存在多种形式。

17．安全风险的可能性是威胁利用脆弱造成后果的可能性。

是两个结合的结果。

18．信息安全风险是――信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。

19．风险管理包括四个阶段两个过程20．风险处置包括减低、转移、规避、接受风险。

21．《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》国信办[2006]5号，规定了风险评估工作的的相关要求。

信息安全工程师岗位所需证书
信息安全工程师岗位所需证书主要有以下几类：
1. CISP（国家注册信息安全专业人员）：国内权威认证，对于在重点行业从业，企业获取信息安全服务资质，参与网络安全项目等，这个认证都非常重要。

2. CISP-PTE（注册渗透测试工程师）：由信息安全测评中心推出，主要针对网络安全技术行业安全性网站渗透测试工作，具备整体规划测试方法、撰写新项目测试流程、编写测试用例、检测报告基本知识与能力。

3. NISP（国家信息安全水平考试）：被称为“校园版CISP”，是信息安全专业的必考资格证书，对于计算机类在校大学生从事网络空间安全行业就业具有通行证的作用。

4. CISSP（注册信息系统安全专家）：由国际信息系统安全认证委员会(ISC)²组织和管理，是目前全球范围内最权威、最专业、最系统的信息安全认证。

以上证书涵盖了信息安全领域的多个方面，包括渗透测试、网络系统安全、信息安全专业知识等，对于信息安全工程师来说，持有这些证书将大大提升其在该领域的竞争力和专业水平。

CISP信息安全管理章节练习二一、单选题。

(共101题,共100分,每题0.990099009901分)1. 下哪项不是信息安全策略变更的原因？a、每年至少一次管理评审b、业务发生重大变更c、管理机构发生变更d、设备发生变更最佳答案是:d2. “通知相关人员ISMS的变更”是建立信息安全管理体系哪个阶段的活动？a、规划和建立b、实施和运行c、监视和评审d、保持和改进最佳答案是:d3. 在信息安全管理体系中，带有高层目标的信息安全策略是被描述在a、信息安全管理手册b、信息安全管理制度c、信息安全指南和手册d、信息安全记录文档最佳答案是:a4. 信息安全应急响应计划的制定是一个周而复始的.持续改进的过程，以下哪个阶段不在其中？a、应急响应需求分析和应急响应策略的制定b、编制应急响应计划文档c、应急响应计划的测试、培训、演练和维护d、应急响应计划的废弃与存档最佳答案是:d5. 以下哪一个不是我国信息安全事件分级的分级要素？a、信息系统的重要程度b、系统损失c、系统保密级别d、社会影响最佳答案是:c6. 某制造类公司欲建自动化发票支付系统，要求该系统在复核和授权控制上花费相当少的时间，同时能识别出需要深入追究的错误，以下哪一项措施能最好地满足上述需求？a、建立一个与供应商相联的内部客户机用及服务器网络以提升效率b、将其外包给一家专业的自动化支付和账务收发处理公司c、与重要供应商建立采用标准格式的、计算机对计算机的电子业务文档和交易处理用EDI 系统d、重组现有流程并重新设计现有系统最佳答案是:c7. 某机构通过一张网络拓扑图为甲方编写了信息安全规划并实施，其后发现实施后出现诸多安全隐患并影响业务运行效率，其根本的原因是a、设计方技术能力不够b、没有参照国家相关要求建立规划设计c、没有和用户共同确立安全需求d、没有成熟实施团队和实施计划最佳答案是:c8. 信息安全风险评估是信息安全管理体系建立的基础，以下说法错误的是？a、信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估b、风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估c、风险评估可以确定需要实施的具体安全控制措施d、风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合。

2019年国家注册信息安全专业人员CISP题库2019.7 一、单选题第1题有关系统安全工程-能力成熟度模型(SSE-CMM)中的通用实施(Generic Practices，GP)，错误的理解是：A:GP是涉及过程的管理.测量和制度化方面的活动B:GP适用于域维中部分过程区域(Process Areas，PA)的活动而非所有PA的活动C:在工程实施时，GP应该作为基本实施(Base，Practices，BP)的一部分加以执行D:在评估时，GP用于判定工程组织执行某个PA的能力本题得分：0分正确答案：B您的答案：所在章：CISP知识点：安全工程答案解析：B第2题规范的实施流程和文档管理，是信息安全风险评估能否取得成功的重要基础。

某单位在实施风险评估时，形成了《待评估信息系统相关设备及资产清单》。

在风险评估实施的各个阶段中，该《待评估信息系统相关设备及资产清单》应是如下( )中的输出结果。

A:风险评估准备B:风险要素识别C:风险分析D:风险结果判定本题得分：0分正确答案：B您的答案：所在章：CISP知识点：安全管理答案解析：B第3题某单位信息安全岗位员工，利用个人业余时间，在社交网络平台上向业内同行不定期发布信息安全相关知识和前沿动态资讯，这一行为主要符合以下哪一条注册信息安全专业人员（CISP）职业道德准则：A:避免任何损害CISP声誉形象的行为B:自觉维护公众信息安全，拒绝并抵制通过计算机网络系统泄露个人隐私的行为C:帮助和指导信息安全同行提升信息安全保障知识和能力D:不在公众网络传播反动.暴力.黄色.低俗信息及非法软件本题得分：0分正确答案：C您的答案：所在章：CISP知识点：法规标准答案解析：C第4题有关危害国家秘密安全的行为，包括：A:严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为B:严重违反保密规定行为.公共信息网络运营商及服务商不履行保密义务的行为.保密行政管理部门的工作人员的违法行为，但不包括定密不当行为C:严重违反保密规定行为.定密不当行为.保密行政管理部门的工作人员的违法行为，但不包括公共信息网络运营商及服务商不履行保密义务的行为D:严重违反保密规定行为.定密不当行为.公共信息网络运营商及服务商不履行保密义务的行为，但不包括保密行政管理部门的工作人员的违法行为本题得分：0分正确答案：A您的答案：所在章：CISP知识点：法规标准答案解析：A第5题某个新成立的互联网金融公司拥有10个与互联网直接连接的IP地址，但是该网络内有15台个人计算机，这些个人计算机不会同时开机并连接互联网。

注册信息安全专业人员CISP模拟试卷1.信息安全等级保护分级要求，第三极适用正确的是：A.适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害2.下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求：A.国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B.各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级C.对是否属于国家机密和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门确定D.对是否属于国家秘密和属于何种密级不明确的事项。

由国家保密工作部门，省、自治区、直辖市的保密工作部门。

省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。

3、为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，加强在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理。

2015年6月，第十二届全国人大常委会第十五次会议初次审议了一部法律草案，并于7月6日起在网上全文公布，向社会公开征求意见，这部法律草案是（）A.《中华人民共和国保守国家秘密法（草案）》B.《中华人民共和国网络安全法（草案）》C.《中华人民共和国国家安全法（草案）》D.《中华人民共和国互联网安全法（草案）》4、为了进一步提高信息安全的保障能力和防护水平，保障和促进信息化建设的健康发展，公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），对等级保护工作的开展提供宏观指导和约束。

注册信息安全专业人员（CISP）知识体系大纲版本：3.0 发布日期：2014 年12 月1 日生效日期：2015 年1 月1 日中国信息安全测评中心©版权2014—中国信息安全测评中心注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心1目录目录.............................................................................................................. 1 前言.................................................................................................................. 4 第 1 章注册信息安全专业人员（CISP）知识体系概述.................................. 5 1.1 CISP 资质认定类别............................................................................. 5 1.2 大纲范围............................................................................................. 5 1.3 CISP 知识体系框架结构...................................................................... 5 1.4 CISP（CISE/CISO）考试试题结构..................................................... 7 第 2 章知识类：信息安全保障....................................................................... 9 2.1 知识体：信息安全保障基础................................................................ 9 2.1.1 知识域：信息安全保障背景...................................................... 9 2.1.2 知识域：信息安全保障概念与模型......................................... 10 2.1.3 知识域：信息系统安全保障概念与模型.................................. 10 2.2 知识体：信息安全保障实践.............................................................. 11 2.2.1 知识域：信息安全保障现状.................................................... 11 2.2.2 知识域：我国信息安全保障工作主要内容.............................. 11 2.2.3 知识域：信息安全保障工作方法.............................................12 第3 章知识类：信息安全技术..................................................................... 13 3.1 知识体：密码技术............................................................................ 13 3.1.1 知识域：密码学基础............................................................... 13 3.1.2 知识域：密码学应用............................................................... 14 3.2 知识体：鉴别与访问控制.................................................................. 15 3.2.1 知识域：鉴别......................................................................... 15 3.2.2 知识域：访问控制模型........................................................... 16 3.2.3 知识域：访问控制技术........................................................... 16 3.3 知识体：网络安全............................................................................ 17 3.3.1 知识域：网络协议安全........................................................... 17 3.3.2 知识域：网络安全设备........................................................... 17 3.3.3 知识域：网络架构安全........................................................... 18 3.4 知识体：操作系统与数据库安全....................................................... 19 3.4.1 知识域：操作系统安全........................................................... 19 3.4.2 知识域：数据库安全............................................................... 20 3.5 知识体：应用安全............................................................................ 20 3.5.1 知识域：应用安全 (20)注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心23.6 知识体：安全漏洞、恶意代码与攻防................................................ 21 3.6.1 知识域：安全漏洞与恶意代码................................................ 21 3.6.2 知识域：安全攻击与防护....................................................... 22 3.7 知识体：软件安全开发..................................................................... 23 3.7.1 知识域：软件安全开发概况.................................................... 23 3.7.2 知识域：软件安全开发的关键工作......................................... 24 第 4 章知识类：信息安全管理..................................................................... 25 4.1 知识体：信息安全管理基础.............................................................. 25 4.1.1 知识域：信息安全管理概述.................................................... 25 4.1.2 知识域：信息安全管理方法与实施......................................... 25 4.2 知识体：信息安全风险管理.............................................................. 26 4.2.1 知识域：信息安全风险管理基础............................................. 26 4.2.2 知识域：信息安全风险管理主要内容...................................... 27 4.2.3 知识域：信息安全风险评估.................................................... 27 4.3 知识体：信息安全管理体系.............................................................. 28 4.3.1 知识域：信息安全管理体系基础............................................. 29 4.3.2 知识域：信息安全管理体系建设............................................. 29 4.3.3 知识域：信息安全控制措施.................................................... 30 4.4 知识体：应急响应与灾难恢复.......................................................... 31 4.4.1 知识域：应急响应概况........................................................... 31 4.4.2 知识域：信息系统灾难恢复.................................................... 32 4.4.3 知识域：灾难恢复相关技术.................................................... 32 第 5 章知识类：信息安全工程..................................................................... 34 5.1 知识体：信息安全工程基础.............................................................. 34 5.1.1 知识域：信息安全工程概述.................................................... 34 5.1.2 知识域：信息安全工程实施.................................................... 35 5.1.3 知识域：信息安全工程监理.................................................... 35 5.2 知识体：信息安全工程能力评估....................................................... 36 5.2.1 知识域：SSE-CMM 概述........................................................ 36 5.2.2 知识域：信息安全工程过程.................................................... 37 5.2.3 知识域：信息安全工程能力.................................................... 37 第 6 章知识类：信息安全法规标准............................................................. 38 6.1 知识体：信息安全法规与政策.......................................................... 38 6.1.1 知识域：信息安全法规........................................................... 38 6.1.2 知识域：信息安全政策.. (39)注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心36.2 知识体：信息安全标准..................................................................... 40 6.2.1 知识域：信息安全标准基础.................................................... 40 6.2.2 知识域：信息安全标准化组织................................................ 41 6.2.3 知识域：信息安全标准体系.................................................... 41 6.2.4 知识域：我国信息安全典型标准介绍...................................... 41 6.3 知识体：信息安全道德规范.............................................................. 42 6.3.1 知识域：信息技术通行道德规范............................................. 42 6.3.2 知识域：信息安全从业人员道德规范.. (42)注册信息安全专业人员（CISP）知识体系大纲V2.3中国信息安全测评中心4前言信息安全作为我国信息化建设健康发展的重要因素，关系到贯彻落实科学发展观、全面建设小康社会、构建社会主义和谐社会及建设创新型社会等国家战略举措的实施，是国家安全的重要组成部分。

CISP 信息安全标准与法律法规介绍CISP（China Information Security Evaluation Standard）是由中国信息安全测评中心（CISE）制订的信息安全测评标准。

CISP分为5个等级，分别是CISP-1、CISP-2、CISP-3、CISP-4和CISP-5，其中CISP-5是最高等级。

CISP主要用于评估企业的信息安全水平，并根据评估结果给出相应的建议和改进措施。

除了CISP标准，中国还有其他一些相关的信息安全标准和法律法规。

CISP信息安全标准CISP-1CISP-1是最低安全等级，适用于对信息安全要求不高的小型企业。

CISP-1要求企业建立基本的信息安全管理制度，确保开展信息处理活动的合法性、正确性和安全性。

此外，CISP-1还要求企业对重要的信息资产进行分类和保护，并建立基本的安全防护措施，如防火墙、反病毒软件等。

CISP-2CISP-2适用于对信息安全要求较高的中小型企业。

CISP-2包括CISP-1的所有要求，并增加了一些额外要求，如完善的安全管理制度、信息安全培训和考核、网络安全事件的应急处理等。

CISP-3CISP-3适用于对信息安全要求较高的大型企业和政府机构。

CISP-3包括CISP-2的所有要求，并增加了一些更高级别的安全措施，如网络边界控制、网络入侵检测、流量监控等。

CISP-4CISP-4适用于对信息安全要求非常高的特定行业和组织，如金融机构、国家机密单位等。

CISP-4包括CISP-3的所有要求，并增加了一些更严格的安全措施，如网络隔离、异地备份、安全审计等。

CISP-5CISP-5是最高等级，适用于对信息安全要求极高的行业和组织，如核电站、军事领域等。

CISP-5包括CISP-4的所有要求，并增加了更加高级别的安全措施，如身份认证、权限控制、加密等。

法律法规《网络安全法》《网络安全法》是中国首部全面、系统的网络安全立法，于2016年11月7日正式施行。

CISP强化练习卷D【含答案及解释】强化练习卷（D）【加强版】(时间：120分钟数量：120题题型：单选题）1/231. 我国信息安全保障工作先后经历启动、逐步展开和积极推进，以及深化落实三个阶段，以下关于我国信息安全保障各阶段说法不正确的是：A.2001国家信息化领导小组重组，网络与信息安全协调小组成立，我国信息安全保障工作正式启动B.2003年7月，国家信息化领导小组制定出台了《关于加强信息安全保障工作的意见》 (中办发27号文），明确了“积极防御、综合防范“的国家信息安全保障方针C.2003年中办发27号文件的发布标志着我国信息安全保障进入深化落实阶段D.在深化落实阶段，信息安全法律法规、标准化，信息安全基础设施建设，以及信息安全等级保护和风险评估取得了新进展。

答案：C解释：2006年进入到深化落实阶段。

2.金女士经常通过计算机在互联网上购物，从安全角度看，下面哪项是不好的习惯：A使用专用上网购物用计算机，安装好软件后不要对该计算机上的系统软件，应用软件进行升级B为计算机安装具有良好声誉的安全防护软件，包括病毒查杀，安全检查和安全加固方面的软件C在IE的配置中，设置只能下载和安装经过签名的，安全的ActiveX控件D在使用网络浏览器时，设置不在计算机中保留网络历史纪录和表单数据答案：A解释：A为正确答案。

3.我国信息安全保障建设包括信息安全组织与管理体制、基础设施、技术体系等方面，以下关于安全保障建设主要工作内容说法不正确的是：A.建全国家信息安全组织与管理体制机制，加强信息安全工作的组织保障B.建设信息安全基础设施，提供国家信息安全保障能力支撑C.建立信息安全技术体系，实现国家信息化发展的自主创新D.建立信息安全人才培养体系，加快信息安全学科建设和信息安全人才培养答案：C解释：实现自主创新在过去的的保障中为自主可控。

4.某银行信息系统为了满足业务的需要准备进行升级改造，以下哪一项不是此次改造中信息系统安全需求分析过程需要考虑的主要因素A.信息系统安全必须遵循的相关法律法规，国家以及金融行业安全标准B.信息系统所承载该银行业务正常运行的安全需求C.消除或降低该银行信息系统面临的所有安全风险D.该银行整体安全策略答案：C解释：无法消除或降低该银行信息系统面临的所有安全风险。

CISP信息安全工程章节练习一一、单选题。

(共33题,共100分,每题3.0303030303分)1. 如果你作为甲方负责监督一个信息安全工程项目的实施，当乙方提出一项工程变更时你最应当关注的是：a、变更的流程是否符合预先的规定b、变更是否会对项目进度造成拖延c、变更的原因和造成的影响d、变更后是否进行了准确的记录最佳答案是:c2. 以下哪项是对系统工程过程中“概念与需求定义”阶段的信息安全工作的正确描述？a、应基于法律法规和用户需求，进行需求分析和风险评估，从信息系统建设的开始就综合信息系统安全保障的考虑b、应充分调研信息安全技术发展情况和信息安全产品市场，选择最先进的安全解决方案和技术产品c、应在将信息安全作为实施和开发人员的一项重要工作内容，提出安全开发的规范并切实落实d、应详细规定系统验收测试中有关系统安全性测试的内容最佳答案是:a3. 在进行应用系统的测试时，应尽可能避免使用包含个人隐私和其它敏感信息的实际生产系统中的数据，如果需要使用时，以下哪一项不是必须做的：a、测试系统应使用不低于生产系统的访问控制措施b、为测试系统中的数据部署完善的备份与恢复措施c、在测试完成后立即清除测试系统中的所有敏感数据d、部署审计措施，记录生产数据的拷贝和使用最佳答案是:b4. 以下关于信息安全工程说法正确的是：a、信息化建设中系统功能的实现是最重要的b、信息化建设可以先实施系统，然后对系统进行安全加固c、信息化建设在规划阶段合理规划信息安全，在建设阶段要同步实施信息安全建设d、信息化建设没有必要涉及信息安全建设最佳答案是:c5. 信息安全工程监理模型不包括下面哪一项?a、监理咨询服务b、咨询监理支撑要素c、监理咨询阶段过程d、控制管理措施最佳答案是:a6. 信息安全工程监理工程师不需要做的工作是:_________。

a、编写验收测试方案b、审核验收测试方案c、监督验收测试过程d、审核验收测试报告最佳答案是:a7. 信息安全工程监理的作用不包括下面哪一项?a、弥补建设单位在技术与管理上的经验不足b、帮助承建单位攻克技术难点，顺利实施项目c、改善建设单位与承建单位之间的交流沟通d、通过监理控制积极促进项目保质按期完成最佳答案是:b8. 一家公司在实施一套新的C/S结构的企业资源管理（CRP）系统。

注册信息安全专业人员CISP模拟试卷1.信息安全等级保护分级要求，第三极适用正确的是：A.适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益B.适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害C.适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害D.适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害2.下面对国家秘密定级和范围的描述中，哪项不符合《保守国家秘密法》要求：A.国家秘密及其密级的具体范围，由国家保密工作部门分别会同外交、公安、国家安全和其他中央有关机关规定B.各级国家机关、单位对所产生的国家秘密事项，应当按照国家秘密及其密级具体范围的规定确定密级C.对是否属于国家机密和属于何种密级不明确的事项，可由各单位自行参考国家要求确定和定级，然后报国家保密工作部门确定D.对是否属于国家秘密和属于何种密级不明确的事项。

由国家保密工作部门，省、自治区、直辖市的保密工作部门。

省、自治区政府所在地的市和经国务院批准的较大的市的保密工作部门或者国家保密工作部门审定的机关确定。

3、为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，加强在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理。

2015年6月，第十二届全国人大常委会第十五次会议初次审议了一部法律草案，并于7月6日起在网上全文公布，向社会公开征求意见，这部法律草案是（）A.《中华人民共和国保守国家秘密法（草案）》B.《中华人民共和国网络安全法（草案）》C.《中华人民共和国国家安全法（草案）》D.《中华人民共和国互联网安全法（草案）》4、为了进一步提高信息安全的保障能力和防护水平，保障和促进信息化建设的健康发展，公安部等四部门联合发布《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），对等级保护工作的开展提供宏观指导和约束。

什么是CISP？CISP即“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全产品测评认证中心实施国家认证。

系国家对信息安全人员资质的最高认可。

根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE），CISE主要从事信息安全技术开发服务工程建设等工作; “注册信息安全管理人员”，英文为Certified Information Security Officer(简称CISO)，CISO从事信息安全管理等相关工作;“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA), CISA从事信息系统的安全性审核或评估等工作。

为什么企业需要CISP？企业提升信息安全技术、管理、保障能力的基础是专业人员以及由专业人员组成的安全组织。

企业希望通过专业的安全培训服务培养专业人员，而基于规范与标准的专业人员认证是体现专业人员价值的基础。

通过CISP培训、认证：1、企业受训员工成为真正的安全专家，认证安全专家能够满足长远的企业信息安全规划、建设、维护能力要求，解决企业遇到的各类信息安全问题2、拥有多名CISP表明企业对信息系统安全保障的承诺和信心，能够为客户提供信赖的服务；为什么个人需要CISP?CISP作为国家最高级别的信息安全专业资格认证将助您在信息安全领域登上职业生涯的顶峰。

CISP考试认证(习题卷3)第1部分：单项选择题，共94题，每题只有一个正确答案,多选或少选均不得分。

1.[单选题]信息系统安全保护等级为 3 级的系统,应当( )年进行一次等级测评?A)0.5B)1C)2D)3答案:B解析:等级保护三级系统一年测评一次,四级系统每半年测评一次。

2.[单选题]一个组织将制定一项策略以定义了禁止用户访问的WE B 站点类型。

为强制执行这一策略,最有效的技术是什么?A)状态检测防火墙B)WE内容过滤器C)WE B 缓存服务器D)应该代理服务器答案:B解析:3.[单选题]入侵防御系统（IPS）是继入侵检测系统（IDS）后发展起来的一项新的安全技术，它与IDS 有着许多不同点，请指出下列哪一项描述不符合 IPS 的特点？A)串接到网络线路中B)对异常的进出流量可以直接进行阻断C)有可能造成单点故障D)不会影响网络性能答案:D解析:4.[单选题]用于跟踪路由的命令是A)nest AtB)rege DitC)systeminfoD)tr A Cert答案:D解析:5.[单选题]信息资产敏感性指的是:A)机密性B)完整性C)可用性D)安全性答案:A解析:6.[单选题]19. 最小特权是软件安全设计的基本原则，某应用程序在设计时，设计人员给出了以下四种策略，其中有一个违反了最小特权的原则，作为评审专家，请指出是哪一个？A)软件在Linux下按照时，设定运行时使用 nobody 用户运行实例B)软件的日志备份模块由于需要备份所有数据库数据，在备份模块运行时，以数据库备份操作员账号连接数据库C)软件的日志模块由于要向数据库中的日志表中写入日志信息，使用了一个日志用户账号连接数据库，该账号仅对日志表拥有权限D)为了保证软件在 Windows 下能稳定的运行，设定运行权限为system，确保系统运行正常，不会因为权限不足产生运行错误答案:D解析:7.[单选题]从系统工程的角度来处理信息安全问题,以下说法错误的是:A)系统安全工程旨在了解企业存在的安全风险,建立一组平衡的安全需求,融合各种工程学科的努力将此安全需求转换为贯穿系统整个生存期的工程实施指南。